Passerelle Internet
Comment partager une connexion Internet avec le reste des locaux, ou comment faire un boitier routeur manuellement.
On étudie ici la configuration à partir d'une Debian Etch.
Configuration IP de la passerelle
Nommage des cartes réseau
Pour s'y retrouver facilement, on peut renommer eth0, eth1, etc. avec des noms plus explicite.
Le paquet ifrename
peut être utilisé dans ce but. Exemple de configuration dans /etc/iftab
:
eth-inet mac 00:0C:57:85:FE:45 eth-local mac 00:19:71:54:AB:83
Le changement est pris en compte au redémarrage, ou en tapant ifrename
avec les interfaces concernées down (iptables eth0 down
).
Alternative: utiliser udev. Sous Debian GNU/Linux Etch, modifier les NAME dans /etc/udev/rules.d/z25_persistent-net.rules
:
SUBSYSTEM=="net", DRIVERS=="?*", ATTRS{address}=="00:0e:3e:ce:27:d3", NAME="eth-admin"
Attention: ifrename et udev ne doivent pas être utilisés en même temps [1].
Configuration des cartes réseau
La configuration est centralisée, sous Debian, dans /etc/network/interfaces
.
Exemple pour le réseau local:
auto eth-local iface eth-local inet static address 192.168.1.1 netmask 255.255.255.0
Pour le réseau interne, cela dépend du type de connexion (PPPoE, DHCP sur le routeur, etc.)
Routage IP
Pour toute la suite, récupérer basic-firewall.txt, du projet debmaintenance.
Utilisez ce fichier pour amorcer la configuration du pare-feu. N'hésitez pas à vous reporter à man iptables
pour mieux comprendre les options utilisées. Voir aussi Pare-feu.
Reportez-vous ensuite à sa partie "Shared Internet access", détaillée ci-après:
IP forwarding
La passerelle doit transmettre les paquets qu'elle reçoit du réseau local vers l'Internet.
Facile, c'est le noyau Linux qui s'en occupe. Cela se configure via /etc/sysctl.conf
(cf. bug debian):
net.ipv4.ip_forward=1
Pour prendre en compte les paramètres:
sysctl -p
Pour vérifier:
sysctl -a | grep default.forwarding
Note: précedemment configuré dans /etc/network/options
- à migrer si c'est le cas sur une ancienne machine (cf. /usr/share/doc/netbase/README.Debian
).
IP masquerading
Un serveur Internet ne saura pas où envoyer une réponse à 192.168.1.10
, par exemple. Du coup, il faut modifier l'adresse IP source des paquets, et la remplacer l'adresse IP publique de la passerelle.
Cette technique s'appelle le masquerading, et fait partie du concept plus général du NAT (network address translation). Cela se fait au niveau du pare-feu, iptables.
Cf. basic-firewall.txt
iptables -t nat -A POSTROUTING -o eth-inet -j MASQUERADE
Modules noyau
Le masquerading est très utilisé mais ne respecte pas le protocole IP. Il peut occasionner des soucis, par exemple pour le protocole FTP qui utilise deux connexions simultanées (contrôle et données).
Rajouter dans /etc/modules
:
ip_conntrack_ftp ip_nat_ftp
Note: Je n'ai pas eu besoin d'installer les modules pour IRC, ce n'est peut-être nécessaire que pour le DCC.
MTU
Il y a également des problèmes de taille de paquets trop gros. Sans entrer dans les détails, il s'agit du problème du MTU (maximum transfert unit).
Rajouter la ligne correspondante dans le pare-feu.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth-inet --clamp-mss-to-pmtu
Droits
On ne fait du routage que pour le réseau interne. Pas question de router des paquets pour les extérieurs. Les paquets transmis, avant d'êtres NATés, passent par la règle FORWARD d'iptables:
iptables -A FORWARD -i ! eth-inet -o eth-inet -j ACCEPT iptables -A FORWARD -i eth-inet -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j REJECT
Serveur DHCP
DHCP permet d'attribuer des adresses locales aux postes connectés au réseau, avec configuration automatique de l'adresse du routeur et des serveurs DNS.
Configuration minimale, /etc/dhcp3/dhcpd.conf
:
ddns-update-style none; log-facility local7; authoritative; option domain-name "masociete.local."; option domain-name-servers 192.168.1.1; #option domain-name-servers ns1.example.org, ns2.example.org; subnet 192.168.1.0 netmask 255.255.255.0 { option domain-name-servers 192.168.1.1; option routers 192.168.1.1; # Adresses dynamiques range 192.168.1.101 192.168.1.150; # Adresses statiques host hplj4200n { hardware ethernet 00:01:E6:84:7F:34; fixed-address 192.168.1.21; } host miroir { hardware ethernet 00:11:11:90:DF:37; fixed-address 192.168.1.50; } }
Notez ensuite le nom de l'interface réseau locale dans /etc/default/dhcp3-server
:
INTERFACES="eth-local"
Penser à ouvrir les ports dans le pare-feu pour DHCP (cf. basic-firewall.txt).
Serveur DNS
Il ne manque plus que la résolution de nom, pour lier par exemple www.cliss21.com
à 87.98.154.26
.
On va ici utiliser bind (paquet bind9
). Configuration dans /etc/bind
Sous Debian, on ne touche qu'à named.conf.options
et named.conf.local
, named.conf
étant géré par le paquet, sauf configuration non triviale.
Restriction d'accès au réseau local: ajouter dans named.conf.options
, section options {
:
allow-query { 192.168.1.0/24; localhost; }; // default: all allow-recursion { 192.168.1.0/24; localhost; }; // default: localnets; localhost; allow-transfer { 192.168.1.0/24; localhost; }; // default: all
Note: on peut être tenté d'utiliser l'ACL prédéfinie localnets
, mais cela donnerait des accès également à une partie du réseau public Internet. À réserver pour le cas où les adresses IP du serveur DNS se situent exclusivement sur le réseau interne.
Définition de la zone locale, et de son reverse, dans named.conf.local
:
zone "masociete.local" { type master; notify no; file "/etc/bind/master/masociete.local"; }; // Note: the IP network adress is written in reverse here: zone "1.168.192.in-addr.arpa" { type master; notify no; file "/etc/bind/master/192.168.1"; };
On a ici un serveur DNS autonome, sans besoin de passer par les DNS du fournisseur d'accès (pour les curieux, voir /etc/bind/db.root
). Si vous êtes dépendant des DNS du FAI (ex: pour récupérer la bonne IP de smtp.wanadoo.fr
), passez en mode délégation dans named.conf.options
:
forwarders { 80.10.246.130; 80.10.246.3; };
(Note: alternativement on peut rajouter une zone dans named.conf.local
juste pour cette adresse:)
// The public smtp.w.f is not a relay, // you need to ask Wanadoo's DNS for the real IPs: zone "smtp.wanadoo.fr" { type forward; forward only; // don't ask anybody else forwarders { 80.10.246.130; 80.10.246.3; }; };
Squelettes de zones, dans /etc/bind/master
:
/etc/bind/master/masociete.local
:
$TTL 3600 ; non-slaves refresh after 1 hour (e.g.: ISPs) @ IN SOA passerelle.masociete.local. hostmaster.passerelle.masociete.local. ( 2007091202 ; serial (YYMMDDxx) 3600 ; slaves refresh after 1 hour 3600 ; slaves retry after 1 hour on failure 1209600 ; slaves expire after 2 weeks 3600 ; minimum negative cache TTL of 1 hour ) NS passerelle passerelle A 192.168.1.1 hplj4200n A 192.168.1.21 miroir A 192.168.1.50 alias CNAME miroir
/etc/bind/master/192.168.1
- reverse:
$TTL 3600 @ IN SOA passerelle.masociete.local. hostmaster.passerelle.masociete.local. ( 2007041601 ; serial (année+mois+jour+compteur) 3600 ; slaves refresh after 1 hour 3600 ; slaves retry after 1 hour on failure 1209600 ; slaves expire after 2 weeks 3600 ; minimum negative cache TTL of 1 hour ) NS passerelle.masociete.local. ; Don't forget the trailing '.' 1 PTR passerelle.masociete.local. 21 PTR hplj4200n.masociete.local. 50 PTR miroir.masociete.local.
Pour générer le reverse à partir des A
de la zone .local
avec une regexp Emacs:
\([-a-z]+\) +A +192\.168\.1\.\(.*\) \2 PTR \1.cigales.local.
Avec ces fichiers, vous devriez avoir un serveur DNS fonctionnel. Pour tester:
host passerelle.masociete.local 192.168.1.1 dig passerelle.masociete.local @192.168.1.1 host 192.168.1.50 192.168.1.1 dig -x 192.168.1.50 @192.168.1.1
Penser à ouvrir le port 53 udp+tcp (cf. basic-firewall.txt).
Alternative: Dnsmasq
Le paquet dnsmasq
fournit en même temps DHCP et DNS. Il relaie les requêtes DNS en utilisant le /etc/resolv.conf
local. Je crois qu'il utilise également /etc/hosts
pour configurer les adresses locales.
La configuration réseau et le partage de connexion reste à votre charge.
Il suffit dans la plupart des cas, mais peut s'avérer plus limité qu'une configuration avec dhcp3-server et bind. La configuration bind en particulier est nettement plus difficile et redondante, mais c'est un savoir réutilisable pour configurer un "vrai" DNS sur Internet.
Configuration minimale /etc/dnsmasq.conf
:
dhcp-range=192.168.1.101,192.168.1.150,12h
Finitions
- Accès distant:
- DynDNS
- Installer des clefs SSH dans
/root/.ssh/authorized_keys
- Supprimer l'authentification par mot de passe, pour éviter les attaques force brute, dans
/etc/ssh/sshd_config
:
ChallengeResponseAuthentication no PasswordAuthentication no